容器安全性建議

發行項
08/15/2024

本文列出您可能會在適用於雲端的 Microsoft Defender 中看到的所有容器安全性建議。

您環境中顯示的建議是以您要保護的資源和自訂設定為基礎。

提示

如果建議描述顯示 [沒有相關原則]，通常是因為該建議相依於不同的建議。

例如，應該補救端點保護健康情況失敗的建議取決於檢查是否已安裝 Endpoint Protection 解決方案的建議（應安裝 Endpoint Protection 解決方案）。基礎建議確實有原則。將原則限制為僅限基礎建議可簡化原則管理。

Azure 容器建議

已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

描述：Azure 原則 Kubernetes 擴充網關守衛 v3，這是開放原則代理程式（OPA）的許可控制器 Webhook，以集中且一致的方式在您的叢集上套用大規模強制執行和保護。（無相關政策）

嚴重性：高

類型：控制平面

已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 延伸模組

描述：適用於 Azure Arc 的 Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。延伸模組會從叢集中的所有控制平面（主要）節點收集數據，並將其傳送至雲端中適用於 Kubernetes 的 Defender 後端 Microsoft，以進行進一步分析。（無相關政策）

嚴重性：高

類型：控制平面

Azure Kubernetes Service 叢集應已啟用 Defender 設定檔

描述：適用於容器的Defender Microsoft提供雲端原生 Kubernetes 安全性功能，包括環境強化、工作負載保護和運行時間保護。當您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 配置檔時，會將代理程式部署至叢集以收集安全性事件數據。深入瞭解適用於容器的 Defender 簡介Microsoft。（無相關政策）

嚴重性：高

類型：控制平面

Azure Kubernetes Service 叢集應該已安裝 Kubernetes 的 Azure 原則附加元件

描述：適用於 Kubernetes 的 Azure 原則附加元件會擴充 Gatekeeper v3，這是開放原則代理程式（OPA）的許可控制器 Webhook，以集中且一致的方式在您的叢集上套用大規模強制執行和保護。適用於雲端的 Defender 需要附加元件來稽核並強制執行叢集內的安全性功能和合規性。深入了解。需要 Kubernetes v1.14.0 或更新版本。（相關原則： Azure 原則 Kubernetes Service 的附加元件（AKS）應該安裝在叢集上並啟用。

嚴重性：高

類型：控制平面

Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)

描述：容器映像弱點評估會掃描登錄中常見的弱點（CVE），並提供每個映像的詳細弱點報告。解決弱點可大幅改善您的安全性態勢，並在部署前確保映像可安全使用。（相關原則：應補救 Azure Container Registry 映射中的弱點。

嚴重性：高

類型：弱點評估

Azure 登錄容器映像應已解決弱點 (由 Qualys 提供)

描述：容器映像弱點評估會掃描登錄是否有安全性弱點，並公開每個映像的詳細結果。解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。（相關原則：應補救 Azure Container Registry 映射中的弱點。

評定金鑰:d bd0cb49-b563-45e7-9724-889e799fa648

類型：弱點評估

Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)

描述：容器映像弱點評估會掃描登錄中常見的弱點（CVE），並提供每個映像的詳細弱點報告。此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。

嚴重性：高

類型：弱點評估

Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供)

描述：容器映像弱點評估會掃描 Kubernetes 叢集上執行的容器映像是否有安全性弱點，並公開每個映像的詳細結果。解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。（無相關政策）

評定密鑰：41503391-efa5-47ee-9282-4eff6131462c

類型：弱點評估

應強制執行容器 CPU 和記憶體限制

描述：強制執行 CPU 和記憶體限制可防止資源耗盡攻擊（阻斷服務攻擊的形式）。

我們建議設定容器的限制，以確保運行時間可防止容器使用超過設定的資源限制。

（相關原則：請確定容器 CPU 和記憶體資源限制未超過 Kubernetes 叢集中的指定限制。

嚴重性：中

類型：Kubernetes 數據平面

只有信任的登錄才能部署容器映像

描述：在 Kubernetes 叢集上執行的映像應該來自已知和受監視的容器映像登錄。信任的登錄會藉由限制引入未知弱點、安全性問題和惡意映像的可能性，降低叢集的暴露風險。

（相關原則：請確定 Kubernetes 叢集中只允許的容器映像。

嚴重性：高

類型：Kubernetes 數據平面

[預覽] Azure 登錄中的容器映像應該已解決了弱點發現問題

描述：適用於雲端的 Defender 掃描登錄映射是否有已知的弱點（CVE），並提供每個掃描影像的詳細結果。掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準。

當新的建議正式推出時，Azure 登錄容器映像應該已解決弱點（由 Microsoft Defender 弱點管理提供電源）。

新的建議處於預覽狀態，不會用於安全分數計算。

嚴重性：高

類型：弱點評估

（必要時開啟）容器登錄應使用客戶管理的金鑰加密（CMK）

描述：預設不會評估使用客戶自控密鑰加密待用數據的建議，但可用於適用案例。數據會使用平臺管理的密鑰自動加密，因此只有在合規性或限制性原則需求強制時，才應套用客戶管理的密鑰。若要啟用此建議，請流覽至適用範圍的安全策略，並更新 對應原則的 Effect 參數，以稽核或使用客戶管理的密鑰。若要深入瞭解，請參閱管理安全策略。使用客戶自控金鑰來管理登錄內容的待用加密。根據預設，數據會以服務管理的密鑰進行待用加密，但客戶管理的密鑰（CMK）通常需要符合法規合規性標準。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。您對金鑰生命週期擁有完全的控制權和責任，包括輪替和管理。如需深入瞭解 CMK 加密，請參閱客戶自控密鑰概觀。（相關原則：容器登錄應使用客戶管理的金鑰（CMK）加密。

嚴重性：低

類型：控制平面

不應允許不受限制的網路存取

描述：根據預設，Azure 容器登錄會接受來自任何網路上主機的因特網連線。為了保護登錄不受潛在威脅的影響，請只允許來自特定公用 IP 位址或位址範圍的存取。如果登錄沒有 IP/防火牆規則或已設定的虛擬網路，其會出現在狀況不良的資源中。在設定公用IP網路規則和使用 Azure 虛擬網路中的服務端點限制容器登錄的存取，深入瞭解 Container Registry 網路規則。（相關原則：容器登錄不應允許不受限制的網路存取。

嚴重性：中

類型：控制平面

容器登錄應使用私人連結

描述：Azure Private Link 可讓您將虛擬網路連線到 Azure 服務，而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應到您的容器登錄，而不是整個服務，您也會受到保護，以免數據外泄風險。深入了解：https://aka.ms/acr/private-link。（相關原則：容器登錄應該使用私人連結。

嚴重性：中

類型：控制平面

[預覽] 在 Azure 中執行的容器應該已解決了弱點發現問題

描述：適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對針對登錄映射建立的映像和弱點報告，為這些工作負載提供弱點報告。掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

新的建議處於預覽狀態，不會用於安全分數計算。

注意

從 2024 年 10 月 6 日起，這項建議已更新為只報告每個根控制器的單一容器。例如，如果cronjob建立多個作業，其中每個作業都會建立具有易受攻擊容器的Pod，則建議只會報告該作業內易受攻擊容器的單一實例。這項變更將協助移除需要單一動作以進行補救之相同容器的重複報告。如果您在變更之前使用此建議，您應該預期會減少此建議的實例數目。
為了支援這項改進，此建議的評定索引鍵已更新為 c5045ea3-afc6-4006-ab8f-86c8574dbf3d。如果您目前透過 API 從此建議擷取弱點報告，請確定您已將 API 呼叫變更為使用新的評估金鑰。

嚴重性：高

類型：弱點評估

描述：若要防止容器外部的許可權提升，請避免 Pod 存取 Kubernetes 叢集中的敏感性主機命名空間（主機進程標識碼和主機 IPC）。（相關原則： Kubernetes 叢集容器不應共用主機進程標識碼或主機 IPC 命名空間。

嚴重性：中

類型：Kubernetes 數據平面

容器應該只使用允許的AppArmor配置檔

描述：在 Kubernetes 叢集上執行的容器應該僅限於允許的 AppArmor 配置檔。 AppArmor （Application Armor）是 Linux 安全性模組，可保護作業系統及其應用程式免於安全性威脅。若要使用它，系統管理員會將AppArmor安全性配置檔與每個程式建立關聯。（相關原則： Kubernetes 叢集容器應該只使用允許的 AppArmor 配置檔）。

嚴重性：高

類型：Kubernetes 數據平面

應避免許可權提升的容器

描述：容器不應該以許可權提升為 Kubernetes 叢集中的根目錄來執行。 AllowPrivilegeEscalation 屬性可控制進程是否可取得比其父進程更多的許可權。（相關原則： Kubernetes 叢集不應允許容器許可權提升）。

嚴重性：中

類型：Kubernetes 數據平面

應啟用 Kubernetes 服務中的診斷記錄

描述：在您的 Kubernetes 服務中啟用診斷記錄，並保留最多一年。這可讓您在發生安全性事件時，重新建立活動線索以供調查之用。（無相關政策）

嚴重性：低

類型：控制平面

容器應強制執行不可變（只讀）根檔系統

描述：容器應該使用 Kubernetes 叢集中的唯讀根文件系統來執行。不可變的文件系統可保護容器免於在運行時間變更，而惡意二進位檔會新增至PATH。（相關原則： Kubernetes 叢集容器應該使用唯讀根文件系統執行。

嚴重性：中

類型：Kubernetes 數據平面

Kubernetes API 伺服器應設定為受限存取

描述：若要確保只有來自允許網路、機器或子網的應用程式可以存取您的叢集，請限制對 Kubernetes API 伺服器的存取。您可以定義授權的IP範圍，或將API伺服器設定為私人叢集，以限制存取，如建立私人 Azure Kubernetes Service 叢集中所述。（相關原則：授權的IP範圍應在 Kubernetes Services 上定義。

嚴重性：高

類型：控制平面

Kubernetes 叢集應只能經由 HTTPS 存取

描述：使用 HTTPS 可確保驗證和保護傳輸中的數據不受網路層竊聽攻擊。這項功能目前已正式推出給 Kubernetes Service （AKS），並預覽 AKS 引擎和已啟用 Azure Arc 的 Kubernetes。如需詳細資訊，請流覽 https://aka.ms/kubepolicydoc （相關原則：在 Kubernetes 叢集中強制執行 HTTPS 輸入）。

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集應停用自動掛接 API 認證

描述：停用自動掛接 API 認證，以防止可能遭入侵的 Pod 資源對 Kubernetes 叢集執行 API 命令。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。（相關原則： Kubernetes 叢集應該停用自動掛接 API 認證。

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集不應授與 CAPSYSADMIN 安全性功能

描述：若要減少容器的攻擊面，請限制CAP_SYS_ADMIN Linux 功能。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。（無相關政策）

嚴重性：高

類型：Kubernetes 數據平面

Kubernetes 叢集不應使用預設命名空間

描述：防止使用 Kubernetes 叢集中的預設命名空間，以防止 ConfigMap、Pod、Secret、Service 和 ServiceAccount 資源類型的未經授權存取。如需詳細資訊，請參閱https://aka.ms/kubepolicydoc。（相關原則： Kubernetes 叢集不應該使用預設命名空間。

嚴重性：低

類型：Kubernetes 數據平面

應針對容器強制執行最低許可權 Linux 功能

描述：若要減少容器的攻擊面，請限制Linux功能，並將特定許可權授與容器，而不授與根使用者的所有許可權。建議您卸除所有功能，然後新增所需的功能（相關原則： Kubernetes 叢集容器應該只使用允許的功能）。

嚴重性：中

類型：Kubernetes 數據平面

應啟用適用於容器的 Microsoft Defender

描述：適用於容器的Defender Microsoft為您的 Azure、混合式和多重雲端 Kubernetes 環境提供強化、弱點評估和運行時間保護。您可以使用這些資訊快速修復安全性問題並改善容器的安全性。

補救此建議會導致保護 Kubernetes 叢集的費用。如果您沒有此訂用帳戶中的任何 Kubernetes 叢集，則不會產生任何費用。如果您在未來在此訂用帳戶上建立任何 Kubernetes 叢集，這些叢集將會自動受到保護，且費用會從該時間開始。深入瞭解適用於容器的 Defender 簡介Microsoft。（無相關政策）

嚴重性：高

類型：控制平面

應避免特殊許可權容器

描述：若要防止不受限制的主機存取，請盡可能避免具有特殊許可權的容器。

特殊許可權容器具有主計算機的所有根功能。它們可用來作為攻擊的進入點，並將惡意代碼或惡意代碼傳播至遭入侵的應用程式、主機和網路。（相關原則：不允許 Kubernetes 叢集中的特殊許可權容器。

嚴重性：中

類型：Kubernetes 數據平面

角色型存取控制應該用於 Kubernetes Services

描述：若要針對使用者可以執行的動作提供細微篩選，請使用角色型存取控制（RBAC）來管理 Kubernetes Service 叢集中的許可權，並設定相關的授權原則。（相關原則：角色型存取控制（RBAC）應該在 Kubernetes Services 上使用。

嚴重性：高

類型：控制平面

應避免以根使用者身分執行容器

描述：容器不應該以 Kubernetes 叢集中的根使用者身分執行。當容器內的根使用者以根目錄身分在主機上執行進程。如果遭到入侵，攻擊者就會在容器中根目錄，而且任何設定錯誤會更容易惡意探索。（相關原則： Kubernetes 叢集 Pod 和容器應該只使用已核准的使用者和群組標識符來執行。

嚴重性：高

類型：Kubernetes 數據平面

服務應該只接聽允許的埠

描述：若要減少 Kubernetes 叢集的攻擊面，請藉由限制服務存取已設定的埠來限制對叢集的存取。（相關原則：確定服務只會接聽 Kubernetes 叢集中允許的埠。

嚴重性：中

類型：Kubernetes 數據平面

應限制主機網路和埠的使用

描述：限制 Pod 存取 Kubernetes 叢集中的主機網路和允許的主機埠範圍。已啟用hostNetwork屬性建立的Pod將會共享節點的網路空間。為了避免遭入侵的容器無法探查網路流量，建議您不要將Pod放在主機網路上。如果您需要在節點的網路上公開容器埠，並使用 Kubernetes Service 節點埠不符合您的需求，另一個可能性是在 Pod 規格中指定容器的 hostPort。（相關原則： Kubernetes 叢集 Pod 應該只使用已核准的主機網路和埠範圍）。

嚴重性：中

類型：Kubernetes 數據平面

Pod HostPath 磁碟區掛接的使用應限制為已知清單，以限制來自遭入侵容器的節點存取

描述：建議您將 Kubernetes 叢集中的 Pod HostPath 磁碟區掛接限制為已設定的允許主機路徑。如果遭到入侵，應該限制來自容器的容器節點存取。（相關原則： Kubernetes 叢集 Pod hostPath 磁碟區應該只使用允許的主機路徑。

嚴重性：中

類型：Kubernetes 數據平面

AWS 容器建議

[預覽] AWS 登錄容器應該已解決發現的弱點

描述：適用於雲端的 Defender 掃描登錄映射是否有已知弱點（CVE），並提供每個掃描影像的詳細結果。掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準。

建議 AWS 登錄容器映射應已解決弱點結果（由 Microsoft Defender 弱點管理提供電源），新建議已正式推出。

新的建議處於預覽狀態，不會用於安全分數計算。

嚴重性：高

類型：弱點評估

[預覽] 在 AWS 中執行的容器映像應該已解決發現的弱點

描述：適用於雲端的 Defender 建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對映射和針對登錄映像建立的弱點報告，為這些工作負載提供弱點報告。掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

新的建議處於預覽狀態，不會用於安全分數計算。

注意

從 2024 年 10 月 6 日起，這項建議已更新為只報告每個根控制器的單一容器。例如，如果cronjob建立多個作業，其中每個作業都會建立具有易受攻擊容器的Pod，則建議只會報告該作業內易受攻擊容器的單一實例。這項變更將協助移除需要單一動作以進行補救之相同容器的重複報告。如果您在變更之前使用此建議，您應該預期會減少此建議的實例數目。
為了支援這項改進，此建議的評定索引鍵已更新為 8749bb43-cd24-4cf9-848c-2a50f632043c。如果您目前透過 API 從此建議擷取弱點報告，請確定您更新 API 呼叫以使用新的評估金鑰。

嚴重性：高

類型：弱點評估

EKS 叢集應將必要的 AWS 許可權授與適用於雲端的 Microsoft Defender

描述：適用於容器的Defender Microsoft為您的EKS叢集提供保護。若要監視叢集是否有安全性弱點和威脅，適用於容器的Defender需要AWS帳戶的許可權。這些許可權可用來在叢集上啟用 Kubernetes 控制平面記錄，並在叢集與雲端中適用於雲端的 Defender 後端之間建立可靠的管線。深入瞭解容器化環境適用於雲端的 Microsoft Defender 的安全性功能。

嚴重性：高

EKS 叢集應安裝 Microsoft Defender 的 Azure Arc 延伸模組

描述：Microsoft Defender 的叢集擴充功能為您的 EKS 叢集提供安全性功能。延伸模組會從叢集及其節點收集數據，以識別安全性弱點和威脅。此擴充功能適用於已啟用 Azure Arc 的 Kubernetes。深入瞭解容器化環境適用於雲端的 Microsoft Defender 的安全性功能。

嚴重性：高

Microsoft適用於容器的 Defender 應該在 AWS 連接器上啟用

描述：適用於容器的Defender Microsoft提供容器化環境的即時威脅防護，併產生可疑活動的警示。使用這項資訊來強化 Kubernetes 叢集的安全性，並補救安全性問題。

當您啟用適用於容器的 Microsoft Defender，並將 Azure Arc 部署到您的 EKS 叢集時，將會開始保護及收費。如果您未在叢集上部署 Azure Arc，適用於容器的 Defender 將不會保護它，而且該叢集的此Microsoft Defender 方案不會產生任何費用。

嚴重性：高

數據平面建議

啟用 Kubernetes 的 Azure 原則之後，AWS 支援所有 Kubernetes 數據平面安全性建議。

GCP 容器建議

應在 GCP 連接器上啟用適用於容器的 Defender 進階設定

描述：適用於容器的Defender Microsoft提供雲端原生 Kubernetes 安全性功能，包括環境強化、工作負載保護和運行時間保護。若要確保您解決方案已正確布建，且完整的功能集可供使用，請啟用所有進階組態設定。

嚴重性：高

[預覽] GCP 登錄容器應該已解決發現的弱點

建議 GCP 登錄容器映射應該已解決弱點結果（由 Microsoft Defender 弱點管理提供，當新的建議正式推出時，將會移除。

新的建議處於預覽狀態，不會用於安全分數計算。

嚴重性：高

類型：弱點評估

[預覽] 在 GCP 中執行的容器映像應該已解決發現的弱點

描述：適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查，並比對映射和針對登錄映像建立的弱點報告，為這些工作負載提供弱點報告。掃描和補救容器工作負載的弱點，對於確保健全且安全的軟體供應鏈、降低安全性事件的風險，並確保符合業界標準至關重要。

新的建議處於預覽狀態，不會用於安全分數計算。

注意

從 2024 年 10 月 6 日起，這項建議已更新為只報告每個根控制器的單一容器。例如，如果cronjob建立多個作業，其中每個作業都會建立具有易受攻擊容器的Pod，則建議只會報告該作業內易受攻擊容器的單一實例。這項變更將協助移除需要單一動作以進行補救之相同容器的重複報告。如果您在變更之前使用此建議，您應該預期會減少此建議的實例數目。
為了支援這項改進，此建議的評定索引鍵已更新為 1b3abfa4-9e53-46f1-9627-51f2957f8bba。如果您目前透過 API 從此建議擷取弱點報告，請確定您更新 API 呼叫以使用新的評估金鑰。

嚴重性：高

類型：弱點評估

GKE 叢集應安裝 Microsoft Defender 的 Azure Arc 延伸模組

描述：Microsoft Defender 的叢集擴充功能為您的 GKE 叢集提供安全性功能。延伸模組會從叢集及其節點收集數據，以識別安全性弱點和威脅。此擴充功能適用於已啟用 Azure Arc 的 Kubernetes。深入瞭解容器化環境適用於雲端的 Microsoft Defender 的安全性功能。

嚴重性：高